shiro.ini配置文件
shiro的ini配置文件主要有四大类配置文件
main、users、urls、roles
main
提供了SecurityManager及其依赖的对象配置
#创建对象
securityManager=org.apache.shiro.mgt.DefaultSecurityManager
其构造器必须是public空参构造器,通过反射创建相应的实例。
对象名=全限定类名 相对于调用public无参构造器创建对象
对象名.属性名=值 相当于调用setter方法设置常量值
对象名.属性名=$对象引用 相当于调用setter方法设置对象引用
users
提供了对用户/密码及其角色的配置,用户名=密码,角色1,角色2
username=password,role1,role2
例如:配置用户名/密码及其角色,格式:“用户名=密码,角色1,角色2”,角色部分可省略。如:
[users]
#用户名及密码
zhouym=123456,role1,role2
roles
提供了角色及权限之间关系的配置,角色=权限1,权限2 role1 = permission1 , permission2
例如:配置角色及权限之间的关系,格式:“角色=权限1,权限2”;如:
如果只有juese没有权限,可以不用配置roles
urls
用于web,提供了对web url拦截相关的配置,url=拦截器[参数],拦截器
<!--加载顺序从上往下。
authc需要认证
anon可以匿名访问的资源
-->
/login.do=authc
/login.jsp=anon
/**=authc
依赖文件
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.zhouym</groupId>
<artifactId>shiro-demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-all</artifactId>
<version>1.2.4</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-simple</artifactId>
<version>1.6.1</version>
</dependency>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
</dependencies>
</project>
测试类
package com.zhouym.junit;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class JunitTest {
@Test
public void test() {
//获取SecurityManager工厂对象,并加载shiro.ini配置文件
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//创建securityManager对象
SecurityManager securityManager = factory.getInstance();
//通过SecurityUtils工具类,设置securityManager对象
SecurityUtils.setSecurityManager(securityManager);
//通过SecurityUtils工具类获取Subject主体
Subject subject = SecurityUtils.getSubject();
//创建身份验证令牌对象,绑定身份信息
AuthenticationToken token = new UsernamePasswordToken("zhouym","1234");
try {
//将身份验证令牌对象中的信息与shiro.ini配置文件信息进行校验,void类型,通过异常查看是否验证成功
//UnknownAccountException未知账号异常
//IncorrectCredentialsException错误凭证异常
subject.login(token);
System.out.println("登陆成功...");
} catch (UnknownAccountException e) {
//这里最好不要给用户明确的错误信息,可以提高账号信息的安全性
System.out.println("账号或密码错误...");
}catch (IncorrectCredentialsException e) {
System.out.println("账号或密码错误...");
}
}
}
源码分析
分析总结:
1、通过shiro相关api,创建securityManager以及获取subject实例
2、封装token信息,将要验证的身份信息封装到AuthenticationToken对象中
3、通过subject对象调用login(token)方法进行用户的认证
subject接收token,通过其实现类DelegatingSubject将token委托给SecurityManager来完成认证,securityManager接口是通过DefaultSecurityManager来完成相关的功能。由DefaultSecurityManager中的login来完成认证过程。在login中调用了该类的authenticate方法来完成认证,该方法由AuthenticatingSecurityManager来完成认证。通过ModularRealmAuthenticator中的doAuthenticate来获取Realms信息。判断如果是单realm直接将token和realm中的数据进行比较,判断是否认证成功,如果是多realm,那么需要通过AuthenticationStrategy来完成对应的认证工作。认证失败则抛出异常,通过subject中的isAuthenticated方法来判断是否认证成功。